Comprendere le considerazioni sulla progettazione
L'architettura descritta in questa soluzione include le scelte di progettazione concepite per fornire una topologia di livello Enterprise che puoi scalare, accedere in modo sicuro e operare in modo efficiente.
- Isolamento risorsaLe risorse nella tenancy vengono isolate in modo logico in compartimenti. L'accesso alle risorse in ogni compartimento viene controllato tramite i criteri definiti dall'amministratore della tenancy.
- Il compartimento radice potrebbe essere il compartimento radice della tenancy o un altro compartimento designato come root. Contiene tutti gli altri compartimenti della topologia. Inoltre, ti definiscono tutti i criteri di gestione dell'accesso in questo compartimento.
- Il compartimento di gestione contiene una VCN con subnet a cui sono collegati il server bastion e il management server.
- Il compartimento di peering contiene i gateway di instradamento e le VCN di peering.
- I compartimenti del tenant contengono le risorse dell'applicazione specifiche per ciascun tenant.
Dal punto di vista della rete, l'architettura divide la topologia in reti isolate, ciascuna rete VCN con uno spazio di indirizzi privati univoco.- I server di base, i management server e i gateway di instradamento vengono collegati alla VCN ISV, denominata anche VCN di gestione.
- Le risorse applicative specifiche per ogni tenant vengono distribuite in una VCN tenant separata.
- Una o più VCN di peering fungono da bridge tra la rete di gestione e le VCN tenant.
- Alta disponibilità
Per l'alta disponibilità dei gateway di instradamento, è possibile distribuire coppie di gateway primary-standby in domini di errore separati. È possibile configurare i gateway di instradamento in modo che utilizzino indirizzi IP privati mobili. Se il gateway primario non riesce, gli indirizzi mobili possono essere spostati nelle VNIC del gateway in standby.
- Scala
- Le risorse applicative per ciascun tenant vengono distribuite in una VCN specifica del tenant in un compartimento separato. Pertanto, il numero massimo di tenant di cui è possibile eseguire lo scale up dell'architettura dipende dai limiti della tenancy per i compartimenti e le VCN. Tenere inoltre presente che il numero massimo di VCN tenant che è possibile connettere a una VCN di peering è fisso al 10. Prendere in considerazione questi limiti quando si pianifica la topologia.
Ad esempio, se si prevede di fornire servizi a 100 tenant, la tenancy Oracle Cloud Infrastructure deve disporre almeno dei seguenti limiti del servizio:
- 102 compartimenti (un compartimento di gestione + un compartimento di peering + 100 compartimenti di tenant)
- 111 VCN (VCN ISV + 10 VCN di peering + 100 VCN tenant)
- Se uno qualsiasi dei tenant richiede la connettività privata, prendere in considerazione i limiti di servizio della tenancy Oracle Cloud Infrastructure per DRGs, le connessioni IPSec VPN, i circuiti FastConnect e le apparecchiature on premise dei clienti (CPE, Customer Premises Equipment). Ad esempio, se 25 dei tenant richiedono la connettività privata, è necessario configurare DRGs 25 ed eventualmente il numero di connessioni IPSec VPN per il richiamo della ridondanza. Quando si imposta la topologia e a intervalli regolari, prevedere il numero di tenant che si prevede di servire e utilizzare Oracle per aumentare i limiti del servizio in base alle esigenze.
- Ogni connessione da un gateway di instradamento a una VCN di peering utilizza una VNIC secondaria del gateway. Pertanto, il numero di VNIC secondarie che l'istanza del gateway può avere determina il numero di VCN di peering che il gateway può servire. Prendere in considerazione questo fattore quando si seleziona la forma dell'istanza del gateway.
Ad esempio, dato il limite predefinito di 10 tenant per VCN peering, se si utilizza un gateway di instradamento con tre VNIC secondarie, il gateway di instradamento può servire fino a 30 tenant.
- Le risorse applicative per ciascun tenant vengono distribuite in una VCN specifica del tenant in un compartimento separato. Pertanto, il numero massimo di tenant di cui è possibile eseguire lo scale up dell'architettura dipende dai limiti della tenancy per i compartimenti e le VCN. Tenere inoltre presente che il numero massimo di VCN tenant che è possibile connettere a una VCN di peering è fisso al 10. Prendere in considerazione questi limiti quando si pianifica la topologia.
- Ampiezza di banda della rete di gestione
La larghezza di banda della rete tra ciascuna VCN tenant e la VCN ISV dipende dalla forma di computazione selezionata per il gateway di instradamento. La larghezza di banda della rete disponibile è condivisa tra tutte le VNIC dell'istanza gateway. Ad esempio, se si seleziona la forma
VM.Standard2.4per l'istanza del gateway di instradamento, la larghezza di banda massima disponibile sarà di 4.1 Gbps, che viene condivisa dalla VNIC primaria e fino a tre VNIC secondarie. Prendere in considerazione questo fattore quando si decide la forma dell'istanza del gateway e il numero di VCN di peering che devono essere fornite da ogni gateway.